Перейти к содержанию

Рекомендации по установке и поддержке Валарм API Security

В данном документе сформулированы рекомендации по установке и поддержке компонентов Валарм API Security.

Изучите возможности NGINX

Основной компонент Валарм WAF — WAF‑нода, которая устанавливается в вашу инфраструктуру. В большинстве форм установок, WAF‑нода использует NGINX в качестве обратного прокси‑сервера.

NGINX — надежный и производительный сервер, который предоставляет широкий набор возможностей и модулей. Чтобы познакомиться с NGINX и его возможностями, мы рекомендуем обратиться к следующим публичным статьям на английском языке:

Следуйте рекомендованному процессу при изучении продукта

  1. Изучите возможные формы установки WAF‑ноды.

  2. Если требуется, изучите способы настройки WAF‑ноды для изолированных сред.

  3. Разверните WAF‑ноду в режиме фильтрации monitoring в среде разработки или тестирования.

  4. Изучите механизм работы, способы масштабирования и мониторинга WAF‑ноды и убедитесь в стабильности нового компонента системы.

  5. Разверните WAF‑ноду в режиме фильтрации monitoring в боевой среде.

  6. Настройте процессы обновления и мониторинга WAF‑ноды.

  7. Сохраните движение запросов через WAF‑ноды в течение 7-14 дней во всех средах, включая тестовую и боевую. Это позволит Облаку Валарм более качественно проанализировать ваше приложение и входящие запросы.

  8. Переведите WAF‑ноду в режим фильтрации block в среде разработки или тестирования и убедитесь, что это не повлияло на работу защищаемого ресурса, используя ручные или автоматизированные тесты.

  9. Переведите WAF‑ноду в режим фильтрации block в боевой среде и убедитесь, что это не повлияло на работу защищаемого ресурса, используя ручные или автоматизированные тесты.

Разверните WAF‑ноду в тестовой и в боевой средах

В большинстве случаев количество WAF‑нод, которые может установить клиент, не ограничено. Поэтому мы рекомендуем развернуть и использовать WAF‑ноду во всех средах вашей инфраструктуры: в боевой и тестовой средах, среде разработки и т.д.

Анализ запросов к приложению на всех этапах его разработки и публикации позволяет составить более точный профиль приложения и минимизировать риск непредвиденного поведения WAF‑ноды в боевой среде.

Используйте библиотеку libdetection для анализа запросов

Начиная с WAF‑ноды версии 2.16, при анализе запросов может использоваться метод двойного обнаружения атак. При двойном обнаружении атак библиотека libdetection выполняет дополнительную валидацию атак типа SQL‑инъекций, обнаруженных с помощью библиотеки libproton.

Метод двойного обнаружения атак значительно увеличивает качество определения атак типа SQL‑инъекций. Поэтому мы рекомендуем обновить WAF‑ноду до последней версии и включить анализ запросов с помощью libdetection, используя инструкции:

Настройте корректную передачу IP‑адреса источника запросов

Если перед передачей на WAF‑ноду запросы проходят через прокси‑сервер или балансировщик нагрузки, в качестве IP‑адреса источника запросов на WAF‑ноду передается адрес прокси-сервера или балансировщика. В этом случае списки IP‑адресов, Активная проверка атак и некоторые другие возможности Валарм API Security могут работать некорректно.

Чтобы настроить корректную передачу IP‑адреса источника на WAF‑ноду, используйте следующие инструкции:

Настройте мониторинг развернутых WAF‑нод

Одна из рекомендуемых настроек WAF‑ноды — качественный мониторинг ее работы. Вместе с каждой WAF‑нодой Валарм установлен сервис collectd, который собирает метрики по состоянию WAF‑ноды и проанализированным запросам.

Способ для настройки мониторинга WAF‑ноды зависит от формы ее установки:

Настройте схему резервирования защищаемого ресурса

Как и установка любого компонента в боевой среде, установка WAF‑ноды должна быть правильно спроектирована и произведена с учетом случаев, когда WAF‑нода может оказаться неработоспособной (например, из‑за отключения питания). Для высокой доступности WAF‑ноды, необходимо использовать минимум две WAF‑ноды для обработки основного трафика ресурса и настроить схему резервирования, используя следующие инструкции:

Изучите работу белых, черных и серых списков IP‑адресов

Помимо блокировки запросов с признаками атаки, WAF‑нода Валарм может блокировать IP‑адреса источников запросов. Условия блокировки источников запросов настраиваются с помощью белых, серых и черных списков IP-адресов.

Узнать подробнее о списках IP-адресов →

Изучите способы низкоуровневой конфигурации WAF‑ноды

  • Применяйте стандартные процессы управления настройками DevOps-компонентов для низкоуровневой конфигурации WAF‑ноды.

  • Настраивайте правила обработки трафика конкретных приложений, задавая разные ID приложений или значения заголовка Host.

  • Помимо применения правила Считать запрос атакой на основе регулярного выражения к конкретному приложению, вы можете использовать это правило в экспериментальном режиме, или когда WAF‑нода работает в режиме мониторинга.

  • Используйте правило Установить режим фильтрации запросов для изменения режима фильтрации в конкретных средах и запросах. Данное правило позволяет более гибко настроить способ защиты новых эндпоинтов и других ресурсов в разных средах. По умолчанию, используется значение wallarm_mode в зависимости от настройки wallarm_mode_allow_override.

Настройте интеграции со сторонними системами для уведомлений о событиях

Чтобы оперативно получать уведомления о событиях безопасности в вашей системе, вы можете настроить нативные интеграции с PagerDuty, Opsgenie, Slack, Telegram и другими системами. Например, в системы отправляются следующие уведомления:

  • Новые уязвимости, обнаруженные в защищаемом приложении

  • Изменения в сетевом периметре компании

  • Новые пользователи аккаунта компании в Консоли управления Валарм и т.д.

Для более тонкой настройки уведомлений вы также можете использовать Триггеры.

Изучите возможности Триггеров

В зависимости от особенностей ваших приложений, мы рекомендуем изучить следующие возможности триггеров:

Включите SSO для аккаунта вашей компании в Консоли управления Валарм

Вы можете использовать технологию единого входа (Single Sign‑On, SSO) для аутентификации пользователей вашей компании в Консоли управления Валарм. В качестве провайдера SSO может использоваться G Suite, Okta, OneLogin или любой другой провайдер.

Для включения SSO, свяжитесь с вашим аккаунт-менеджером Валарм или технической поддержкой Валарм и после этого выполните настройку SSO по инструкции.

Используйте Terraform-провайдер Валарм для управления конфигурацией Облака Валарм

С помощью официального Terraform-провайдера Валарм вы можете управлять конфигурацией Облака Валарм, а именно: списком ползователей, приложений, интеграций и т.д.

Включите в план оперативное обновление WAF‑ноды до новых версий

Мы непрерывно повышаем качество продукта Валарм WAF и выпускаем новые версии с улучшениями. Новые версии публикуются примерно раз в квартал. Более детальная информация о процессе обновления и возможных рисках приведена в документе с рекомендациями по обновлению WAF‑ноды.

Ознакомьтесь с известными ограничениями продукта

  • Все WAF‑ноды, прикрепленные к одному аккаунту Валарм, получают из Облака Валарм одинаковый набор правил. Вы можете применить разные правила к разным приложениям, задав ID приложений или уникальные элементы HTTP-запросов (например, заголовки) в настройках правил.

  • Если в Консоли управления Валарм настроен триггер, который блокирует IP‑адреса (например, триггер для добавления адреса в черный список), IP‑адрес будет заблокирован для всех приложений.

Следуйте рекомендациям по управлению модулем активной проверки атак

Один из методов обнаружения уязвимостейАктивная проверка атак. Модуль активной проверки атак воспроизводит атаки из реального трафика, обработанного WAF‑нодой, и анализирует ответ приложения на наличие признаков уязвимостей, которые потенциально могли быть проэксплуатированы.

Изучить рекомендации по управлению модулем активной проверки атак →